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”一 、 衣 景 及 挑 吕 
”动态 沙 箱 是 检测 高 级 威胁 的 重要 手段 

“ 二、 环境 敏感 的 恶意 软件 

”探测 沙 箱 环境 ， 对 抗 沙 箱 检 测 技术 手 段 
三 、 环 境 敏感 恶意 软件 的 检测 

”针对 环境 探测 的 各 种 检测 思路 及 进展 
四 、 我 们 的 工作 及 进展 

”人 金刚 系统 及 相 天 进展 
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一 、 表 景 及 挑战 


高 级 持续 性 威胁 ( APT ) 攻击 中 ， 应 用 各 种 技术 对 抗 当前 的 检测 手段 和 防护 全 略 ， 
动态 沙 箱 是 检测 高 级 威胁 的 重要 手段 ， 也 是 最 有 效 的 手段 之 一 。 
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APT 攻 击 检测 是 保障 国家 网 络 空间 安全 的 重大 战略 需 
传 六 了 向 体系 。 国家 关键 信 息 基础 


从 pe GE 
上 @ 当下 


人 
NA 


国家 硼 景 高 技术 手段 忆 


人 < 人 CE 和 国家 经 济 命脉 
性 威胁 人 攻击 是 有 组 织 实施 、 高 技术 资源 支撑 的 高 隐 散 
性 、 高 破坏 性 攻击 ， 是 当前 网 络 空 间 对 抗 的 最 前 沿 ， 是 国家 重大 战略 需求 
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APT 攻 击 检测 防御 是 业界 难题 之 一 


技术 反 虚 拟 化 未知 漏洞 利用 专 有 控制 协议 ROP 


。 对 抗 ”类 攻击 代码 P2P 僵 尸 网 络 做 重用 攻击 和 本 


手段 代码 变形 “SMC 自 修改 代码 ”环境 探 人 


， 防御 主动 防御 网 络 隔 高 程序 调试 


国美 国 国家 安 


国 国际 顶 级 攻击 团 


队 Hacking-Team 医 全 忆 NSA 下 属 


遭受 攻击 
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QEMU、Bochs 
等 硬件 模拟 器 


VMWare、VirtualBox 
等 虚拟 软件 
Sandboxie、 影 子 系统 


等 沙 箱 软件 量 


进 硬 
技术 缺陷 : 箱 件 拟 
需要 运行 分 析 进 程 和 驱动 “ 改 m 技 技 技 
需要 挂 载 SSDT 等 系统 钩子 惠 一 下 术 区 术 
技术 缺陷 : 
闪 需要 其 他 分 析 工具 辅助 和 “Gy 
具有 可 检测 的 软件 特征 | 
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加 和 汉 扩 的 由 型 工作 模式 《 生 腹 革 纺 ) 


宿主 操作 系统 : Linux 
动态 分 析 环 境 
选取 
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二 、 环 境 敏 感 的 恶意 软件 


沙 箱 的 对 抗 与 反对 抗 ，A Neverending Arms Race 
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局 对 抗 APT 攻 击 样本 环境 探测 
高 对 抗 背景 下 ， 攻 击 者 采用 各 种 手段 规避 动态 检测 
一 一 - 样本 行为 触发 不 充分 ， 机 理 分 析 困难 
规避 卡巴 斯 基 的 动态 检测 在 特定 语言 环境 下 才 激 活 攻击 行为 


Vv0O = CreateToolhelp32Snapshot() Vv0 = GetSystemUlLanguagel() 
while(Process32Next(v0, &pe)) if(vO == 0x419 | | v0O == 0x422) 
if(strnicmp(pe.SzZExeFile “avp.exe” 4)==0) return 1; 
return 1; } 
} return 0， 


return 0， 


-text:9B953E8 dd BC7E999Egh ，A19Bu5h，45C76999h，A22B8h，9BCa5C709h 
PROCESSENTRY32 pez 7/ [sp*8h] [bp-136@h]et -text: 88N653E8 dd 223h，28Cbu5C7h，907869994h，42BCA8u5h，25579969h ，#2CC8h 
-text: 9B4953EB dd BCCa55798h ，437h，3FDBa5C7h。， BC7999998h ，Awux8D2u5h，xw5C79998h 
memset(&npPe -cntusage ， 昌 。 9x124uD -text: 9BA953EB dd u2D8h，90Ca5C796h，4u3h，MuEB55C7h，6C799999uh ，818E445h 
pe duSsize = 2963 -text: 9BH953E8 Lishui cai Ruan 一 arF669668h 
uB = CreateToolhelp32Snapshot(2uU。9)3 -text:9989525C se 
af 《 uB -- 《HANDLE)-1 》 -texts9989545C eax，offset GetUserDefaultUILanguage 
return B3 -text:99495461 ax，ax 
if 《 Process32Nextkug。a&pe) )》 -textz Bl95a6 Tebp-8] ，eax 
芭 -text:99495367 d5:GetSystemDpefaultUILanguage 
-8BEL_18: -text:9989536D 5 Sr 
CIosehHandledu9)5 -text:99465479 mou [ebp-BCh]，eax 
return 83 -text: 998495473 and duord ptr [ebp-4]， 昌 
系 -ext 98495377 jmp short loc_485488 
wnile 下 strnicnpCgpe szExeFiler1] 有 text 98485479 ; 
_strnicmpCape -szExeFiler1] ， 本 -texts99895479 
_strnicmpCape -szExeFiler1]， -text:99495479 10c_A95479: ; CODE XREF: -text:loc_495684 
是 -=trnicmpCape -szExeriler1]，' ext :99u95a79 mou eax。[ebp- 
_strnicmpCape -szExeFile[1]， -text:9949547P inc eax 
_strnicmpCpe-szExeFile，'…peid…。 -text:9949547D mou [ebp-4]，eax 
二 strnicmpCa&pe -szExeFIiler11， 检 -text:99465389 
_strnicmpCpe-szExeFile，"…ubox" -text:99405489 10c_A95489: :cn 
strnicmpCa&pe -szExeFiler1]，" 宇 -text:98495489 duord ptr [ebp-4] ，1Bh 
_strnicmpCa&pe -szExeFiler1]， -text:99465384 j Short loc_A9548 
_strnicmpCa&pe -szExeFiler[1]，' 宇 -texts998954486 eax，[ebp=4] 
二 strniempCape -szExeFiler1]， -text:9B4095889 eax，[ebpseaxx-ach] 
_strnicmpC&pe -szExeFile[1]，'… -text=9Bu95u8D eax。[ebp-8] 
_strnicnpCape -szExeFilerf1]，… -text:99465499 j Short 10c_A85497 
0 时 -text :899495392 ax，eax 
if 《〔 *Process32Next(ug，&pe) ) -text:9946539 i ax 


goto LRBEL_18: -text:99405495 j Short_loc_ng5anC 


return 13 
四 
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. 计算 特征 : 动态 沙 箱 需 
. 异常 特征 : 沙 箱 需要 全 面 监测 数据 ， 以 实施 检测 判断 调试、 指令 插 柱 、SSDT 动 持 .，…. ) 
. 高 靶 向 性 行为 触发 ， 仅 针对 特定 目标 触发 行为 


。 每 个 检测 环境 无 法 人 为 操作 : 鼠标 等 设备 操作 、 网 络 访问 、 历 史 日 志 ..…… … . 


。DeepLocker: AI 黑箱 模型 中 能 入 检测 对 抗 远 辑 
。Stalling Code 迟滞 代码 〈 高 强度 干扰 性 数学 运算 、API Flood) 
。Fileless 无 文件 攻击 脚本 〈PowershelD) 
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虚拟 环境 探测 : 以 模糊 测试 确定 指令 仿真 缺陷 


。Proteus (RAID”18) : 探测 android 虚 拟 沙 箱 环 境 
@ 生成 测试 程序 


@ 提取 真实 CPU 和 沙 箱 模拟 器 指令 记录 
G) 识别 指令 执行 差异 : 寄存 器 、 内 存 和 异常 信息 


凯 排除 非 确定 类 型 指令 的 干扰 


Imstmruction 
Traces 


Real CPU Trace 


Detector 
3 Proof-of-concept 
种 | Generator Divergence _， Generation 
RN Identification | 一 
攻 忆 是 &e Categorization |…. 5】 
Generator | 国 DA 
可 


Unpredictable 


Enmulatonr Trace CPUaMiem 
Generator 
Instruction Checken| 


Sahin OnumCoskun Ayse K.,Egele Manuel. Proteus: Detecting Android Emulators from Instruction-Level Profiles; In: Proc. of the Research in Attacks, Intrusions 
and Defenses, Cham, F, 2018 [C]. Springer International Publishing 
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QEMU Response <und，!SIGILL> 10167 (29%) 
模拟 器 SIGILL SIGSEGV None <usr，SIGILL> 
826 (0.2%) | 9341 (1.9%) <abt ，!SIGBUS> 


O 
Vs9 3 <usr，SIGEUS> | 0 
直 守 三 8 
具 头 CPU 本 mem_op_difference | 200 (0.05 双 ) 
蚊 扑 


1 Oo 区 


真实 CPU 无 效 ， 但 QEMU 能 够 执行 的 指令 


Divergent QEMU Real CPU 
cond:410001lop:41*:12110011*:4 op 三 1,2;3;5;67| SVWP Inst.， | [Undefined | 715 | 
cond:4|111000101*:91101l*:1lop:4l*:4 | op!=13 |164-bit VMOV| |undefined | 424 | 


cond:4111lop:61*:20 | op 三 12 | | VEFPStore ||umdefined | 51 | 
cond:41iil01ly:2101*:8110111y:1lop:2|aAtA op 三 23 | | VDUPTInst | oaaefined| 3 | 


1 一 _ 口 
cond:41110lop:5|*:811011*:9 本 ee 四 | VEFP Store maetinaa| 2 
-一 一 = -一 = = 


G@ 标注 恶意 样本 : 每 个 样本 分 配 
特定 1D 

@ 恶意 样本 加 壳 混 淆 : 避免 被 静 
态 检测 

@) 将 沙 箱 环境 特征 查询 请 求 编码 
为 执行 逻辑 ， 生 成 最 终 样 本 

由 杀毒 软件 扫 摘 样本 ， 得 到 查 杀 
结果 

@) 依据 查 杀 结果 获取 环境 特征 


Question: What is 
the username in 
the emulatory 


A NMorris 


B Code Red 
Zeus 


Conficker 


Brain 


MalLware Detected : 
SasseL // ve' 
Bagle ZN/ 
BlLaster  //\u' 


Blackthorne Jeremy,Bulazel Alexei,Fasano Andrew,Biernat Patrick,Yener BuUlent. AVLeak: fingerprinting antivirus emulators through black-box testing. 


Proceedings of the 10th USENIX Conference on Offensive Technologies. Austin, TX; USENIX Association. 2016: 91-105. 
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通过 黑 盒 测试 自动 抽取 杀毒 软件 沙 箱 环境 特征 


15 


Avleak 可 识别 抽取 杀毒 软件 沙 箱 中 六 大 类 特征 


Artifacts of the execu- | Program / user / compnuter names，MAC addresses, file 
tion environment itself | System, reglstry entries, running processes, GUI windows 


Environmental Artifacts 


Inconsistency in OO | Functions which return incorrect Tesults, incorrectly fail 
API implementation OF Succeed 


OS API Inconsistency 
Fingerprints related to | Hardcoded network responses，Iesponses to invalid re- 


Network Emulation 
network emulation quests, protocol emulation inconsistencies 
Timing inconslstencies | Timing skews, Inconsistencies, and failures 
Ielated to emulation 
Artifacts in the memory | Register states after API calls, runtime process Structures， 
JInconsistencies in CPU | Incorrectly emulated instructions，unique cycle counts， 
instruction emulation out-of-order execution behavior 


Timing 


Process Introspection 


CPU “Red Pills” 


Table 1: Table summarizing the six categories of fngerprints we examined with AVLeak. 
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Spotless Sandboxes: Evading Malware Analysis System using Wear- 
and-Tear Artifacts 


。 基 于 系统 使 用 “磨损 ” 猴 迹 ， 探 测 运 行 环境 
。 通 过 从 真实 用 户 设备 和 公开 可 用 恶意 软件 分 析 服 务 收集 使 用 磨损 痕迹 ; 
。 基 于 使 用 年 限 和 磨损 程度 构建 统计 分 类 模型 
。 收 集 的 数据 包括 : 系统 信息 类 、 磁 盘 信息 、 网 络 数据 信息 、 注 册 表 信息 、 浏 览 器 痕迹 
。 基 于 决策 树 探测 运行 环境 是 否 为 检测 系统 
CE ee 


Miramirkhani N.,Appini M. P.,Nikiforakis N.,Polychronakis M. Spotless Sandboxes: Evading Malware Analysis Systems Using Wear-and-Tear Artifacts; In: Proc. 
of the IEEE Symposium on Security and Privacy (SP), F, 2017 [C] 
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沙 箱 和 真实 用 户 机 器 “磨损 ”痕迹 的 差异 识别 沙 箱 的 用 户 实 用 痕迹 类 别 


7T4B1LE 7 Comzplete Ust of wear-anid-tear artacts. 


于 三 二 Category | Name Description User Sandbox ”Baseline 
. 古 [ 融 本 吉本 是 大 下 大国 人 人 
凡 winupdt # installed Windows updates 794 19 < 
3 4 sysevt ## system of system events 27K SK 334 
也 System “| appevt ## of application events 18K 2.4K 184 
山 0.2 syssrc # sources of system events 78 49 48 
一 四 appsrc # sources of application events 40 26 23 
二 下 人 二 sa 本 三 sysdiffdays Elapsed time since the first system event (days) 370 1.7K 0 
司 于 CE 人 @ 四 四 3 和 2 种 林 
与 届 二 上 和 和 站 汪 和 证 生生 于 放生 昌 昌 生生 和 二 这 汪 间 半生 生生 是 业 玫 全 作业 于 相生 appdiffdays Elapsed time since the first application event (days) 298 943 0 
SEESEEREE2eSASSSS6S8SSASSSSSSEE 人 号 人 SEE 等 合 训 研 上 豆 &@ ss 和 
呈 刁 豆 昌 到 刘 史 眉 G oa 时 总 皇 虽 旺旺 玫 号 呈 备 虽 豆 吕 四 本 劝 与 和 语 本 员 所 量 人 & 电 虽 吕 站 TecycleBinSize Total size of the recycle bin (bytes) 2.5G SO0M 0 
ae 生 三 全 革 委 各 可 局 复 会 是 是 号 生 全 到 时 人吉 和 施 和 全 夺 吕 证 呈 生 昌 recycleBinCount # files in the recycle bin 109 凶 0 
全 是 号 2 和 汪 号 与 生 量 呈 生生 入 到 忆 当 昌 让 日 六 三 有 3 训 tempFilesSize Total size of temporary system files (bytes) 302 24 8.2 
人 思 如 当权 = 了 口 昌 有 呈 和 tempFilesCount ##temporary system fnes 411 60 10 
到 2 5 Disk miniDumpSize Total size of process crash minidump files (bytes) 3M 409K 0 
miniDumpCount # of process crash minidump files 9 4 0 
thumbsFolderSize Total size of the system's thumbnails folder (bytes) 63ML 8SM 2.6M 
二 A desktopFileCount # files on the desktop 34 6 3 
林木 \ 培 RU * 串 | 、\ 六 妆 ARPCacheEntries 提 entries in the ARP cache 19 4.5 5 
车 损 信 图 7 息 兄 林 /// dnscacheEntries # entries in the DNS resolver cache 151 4 3 
其 过 让 certUtilEntries # URLSs of previously downloaded CRLs 1.7K 210 6 
0 9 | wirelessnetCount # of cached wireless SSIDs 8 0 0 
准 了 > 人 | 9 > 8 O 0 上 tcpConnections # of active TCP connections 77 27 16 
TIegSize Size of the registry (in bytes) 144.8M ”53M 35M 
uninstallCount 共 registered software uninstallers 177 5S8 18 
症 autoRunCount ## programs that automatically run at system startup 9 3 
7T4BZLE VT Classifier Perfornmazazce We tirainmea only oz Ca tomlSharedDlls Legacy DLL reference count 2 6 526 
。 。 。 totalAppPaths # registered application paths 54 35 23 
Si118le fpPe or artifacts (FNR = False Negative Rate，FPR = toalAetiveSetup # Active Setup application entries 24 3 和 
ws orphancdCount #leftover rcgistry entrics 11 10 9 
False Positive Rate 外 . totalMissingDIls # registered DLLS that do not exist on disk 21 23 13 
Registry usrassistCount ##of entries in the UserAssist cache (frequently opened applications) 222 98 11 
shimCacheCount ## entries in the Application Compatibility Infrastructure (Shim) cache ”191K 98K 38K 
Artifact Type | #Artifacts | Accuracy FPR MUICacheEauics。。 #Mul User laterice MUD cache eaties 6 163 
FireruleCount # of rules in the Windows Firewall 3 3 358 
Network 9 .9250 6. 1 250 deviceClsCount # previously connected USB devices (DeviceInstance IDs) 81 29 60 
USBStorCount ## previously connected USB storage devices 1.7 0 0 
Disk 95 .9250 &8. 1 650 browserNum ##installed browsers (Intemet Exploren Firefox，Chrome) 2.9 1.4 1 
uniqueURLs # unique visited URLS 28K 13.8 1.64 
System 92.8650 14.2955 totalTypedURLS ##URILs typed ithe browsers navigation bar LEGK 4 1 
7 totalCookics ## of HTTP cookics 3K 135 痊 
Registry 93 .88950 8. 1 6950 二 WE uniqueCookieDomains “ 共 unique HTITP cookie domains 1003 站 1 
7 totalBookmarks #bookmarks 274 20 和 
B TOWSET 92 86 2 1 2 2 24 Z totalDownloadedFiles # downloaded files 340 号 0 
urDifftDays Time elapsed between the oldest and newest visited URL (days) 225 370 0 
cookieDifftDays Time elapsed between the oldest and newest HTTP cookie (days) 303 256 0 


。 在 A1 黑箱 中 隐藏 目标 选择 和 检测 对 抗 逻 辑 


Stuxnet 
RegsKeyExists(“HKLMNSOFTWARE\SIEMENS\STEP7) 


Execute 
Attack! | 


全 司 


Execute 


传统 基于 系统 特征 判断 是 否 为 攻击 目标 DeepLocker 基 于 Al 算法 判断 是 否 为 攻击 目标 


Dhilung Kirat, 上 JJ., Marc Ph. stoecklin, DeepLocker: Concealing Targeted Attacks with Al Locksmithing, in Blackhat USA. 2018, IBM Research 


Evading 
static, dynamic, manua 


Benign 
application 
四 Security analysis 
xisting 念 
malware 国 国 故国 加 . 有 


站 人 x7 佳 集 尹 部 环 境 信息 圭 忌 必 包 让 
收集 目标 必 理 环 缠 软件 环境 、 用 于 Er 
户 行为 、 地 理 位 置 等 属性 信息 一 枉 
. 构建 深度 学 习 模型 决策 模型 二 本] -= 


。 训练 用 于 目标 识别 的 多 层 神经 网 络 模 
型 ， 模 型 捆绑 到 恶意 代码 中 用 于 目标 
环境 判断 


因 智 能 决策 
了 | 算法 检测 运行 环境 是 否 为 目标 


环境 ; 在 非 目 标 环境 执行 无 害 行为 ， 
在 目标 环境 执行 恶意 行为 


所 
一 
由 

三 
台 
由 
品 
一 
口 

忆 


Unlocking 


Input attributes 
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三 、 环 境 敏感 恶意 软件 检测 


如 何 构造 扁 延 明 的 检测 环境 ， 如 何 友 现 环境 敏感 的 行为 噶 弟 


。Bare-metal 沙 箱 : 基于 物理 主机 构建 


。 以 Bare-meta 沙 箱 为 参照 进行 比 对 检测 : BareCloud 
se。Stalling Code 迟 消 代 码 检 测 


。 强 制 执行 特定 路 径 : X-force 
。 执 行 环境 主动 构造 : GoldenEye 
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BareBox: Efficient Malware Analysis on Bare-Metal 


。 裸 机 硬件 上 进行 恶意 软件 分 析 
。 无 需 重启 的 系统 快速 恢复 
。 内 存 数据 备份 恢复 机 制 : 
。 内核 实现 Meta-OS， 将 物理 内 存 重 新 分 3 个 区 ， 第 一 个 用 于 
TargetOS， 第 二 个 用 于 Target OS 的 备份 ， 第 三 个 用 于 
Meta-OS, 以 支持 内 存 数 据 的 恢复 
。 基于 RAM disk 模 拟 磁 盘 驱动 器 ， 保 障 分 析 过 程 实际 硬 
盘 不 被 修改 
。 软件 监控 和 数据 获取 


。 系统 驱动 : 通过 SSDT 的 监控 记录 恶意 代码 系统 调用 层 
面 的 行为 


Figure 1: Archlitecture Overview 


Kirat Dhilung,Vigna Giovanni,Kruegel Christopher. BareBox: efficient malware analysis on bare-metal. Proceedings of the 27th Annual Computer Security 
Applications Conference. Orlando, Florida，USA; ACM. 2011: 403-12. 
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BareBox: Efficient Malware Analysis on Bare-Metal 


| 行为 触发 情况 比较 


了 Save 有 Restore 
14 
12 
10 让 全 
8 
43 
汪汪 
0 


Table 2: Number of new Process creation 
Malware Family BareBox VMware  QEMU 


Time required to save/restore 
(Sec) 


Rebhip 9 0 此 

BareBox BareBox BareBox 。 Soft-boot(SSD Softboot VimmalBox Telo ck 2 工 下 
0 Conficker 0 0 0 
Zlob/Zeus 10 10 款 

| Sdbot 4 1 1 
2 2 Asgobot 50 3 | 
四 | 一 Armadillo-4 1 0 0 


一 Save (Mininmum 
Dervices) 
人 (Minimum 


二 人 Devices) 


(Sec) 


一 ”全 Restore (AllDevices) 


Time required to save/restore 


12 1024 
Total Physical Memolry CMVMIB) 
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BareCcloud:Bare-metal Analysis-based Evasive Malware Detection 


“检测 恶意 样本 的 “规避 检测 ”行为 
“ 不 同 环境 下 获取 恶意 样本 的 行为 数据 


。Virtualization、Emulation'、 
Hypervisor 、Bare-metal 环 境 下 获取 
ee IC 

ehavior Comparison ehavior Deviation Score 
。 检 测 其 “规避 检测 ”的 行为 


比较 样本 在 不 同 环境 下 行为 的 差异 性 Figure 1: Overview of the System 
. 将 各 个 不 同 平台 的 行为 结果 按照 统一 0 一 (ojype'opj-nanna 


AAA 一 


有 ET 月 几 Scheduler 网 


Synchronized 
Execution 


Virtualbox 


iv ER 本 
规范 进行 表示 oODj1ype::= Flelregistry|syscom 尹 prenwo 
关 = (0，R，P) ,其 中 0 是 对 象 集合 ，R 是 操作 集合 ，P < (OxR)， 尺 ::= (op_1d11e;,OP_GITiDute) 


Kirat Dhilung,Vigna Giovanni,Kruegel Christopher. Barecloud: bare-metal analysis-based evasive malware detection. Proceedings of the 23rd USENIX 
conference on Security Symposium. San Diego, CA; USENIX Association. 2014: 287-301. 
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BareCcloud:Bare-metal Analysis-based Evasive Malware Detection 


“ 采用 层次 化 的 相似 度 史 配 法 ，。。 从 110005 个 恶意 样本 中 共 发 现 了 5835 个 
。” 去 八 乞 级 别 相 经 二 四 让 阐 林 ; 9 ZX 一 、 
慰 办 遂 锡 国文 得 名 关 随 祝 因 于 带 来 。。 具有 “规避 检测 ”行为 的 样本 


误差 ; 
Table 2: Evasion detection on different environments 


Environment “Detection count “Percentase 


Obiject Type 


Object Name Anubis 4.947 84.78 

operauon Name Ether 4.502 78.18 

人 VirtualBox 3.370 01.28 
All 2.330 43.335 
Total 3.8335 


Figure 2: Behavior similarity hierarchy 
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迟滞 代码 (Stalling Code) 检 测 

CD 动态 插 糙 并 构建 动态 控制 流 图 
国 基本 块 开头 
国 Call 和 ret 指 令 


Stalling Code Region … 全 


四 识别 活跃 循环 


slowdown factor 
LUu 


30| 
25| 
20| 
15| 
10| 
5 
一 er am 
mmx fpu io 


mem benign 


wm 全 图 识别 迟滞 循环 
沙 箱 性 能 员 失 eu 国 启 发 式 规则 3 最 内 层 活 跃 循 环 
和 于 缓解 性 能 损失 方法 : 
四 人 { Funcaohm Pio 转 被 动 方法 : 减少 监控 点 
CS 图。 主动 方法 : 主动 终止 迟滞 代码 


3 void helper() 1{ 1]1 de ! 


1 unsigned count，t7 


4 tt 上 = GetTickcount()) 12 helper(); 人 
SS t++; 13 。 count++; 迟 洋 代码 

6 t++i 14  )} while 5 二 

7 tt = GetTickCcount () 7? 了 (count !=0xe4elcl1) ， 动态 控制 流 图 
8 } 16 )} 


Kolbitsch Clemens,Kirda Engin,Kruegel Christopher. The power of procrastination: detection and mitigation of execution-stalling malicious code. Proceedings 
of the 18th ACM conference on Computer and communications security. Chicago, linois，USA; ACM. 2011: 285-96. 
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迟 沛 代码 (Stalling Code) 检 测 


最 多 超过 66.5% 的 样本 实现 了 捞 滞 代 码 纸 过 ， 和 触发 22.3% 的 关键 行为 


Table 1: Additional behavior observed in Hasten (using cyerage imzproyerze1zi). 
Description 
samples[ ， 郧 [ WAVTamiles | samples | 兄 |#AVTmiles 
ET 
4dded pehpavior (anzy activity)) 
-Adaded jiie activyipy 
-4daded mehyorK activyitpy 


-4dded CUT actimipy 
-4ddaded process activity 
-4daded registry activity 


7TTZITTXZTZTTZZTTZZTTTT 区 


No mew pejpavior 1.320 | 3S.0%p 229 1.6042 | 66.S%p 174 
-_ Exception caseys 0 | 0.0% 0 277 | 11.2%% 63 
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5 昌 制 执行 特定 路 径 : X-force 。 生 让 RAR 


and execute with "update" argument 
0x10006180|Execute a command sent by the C&AC server 


牺牲 精度 换取 更 好 路 径 上 履 将 能 力 Wooaue Aidiae 
加 强制 改写 kk6 二 等 99 分 支 条 件 0x10005ed0 |Delete all files on the hard disk 
> 改写 造 成 程序 状态 异 季 
> 内存 异 常 : 按 需 分 配 内存 
> ”输入 缺失 : 实时 提供 随机 值 
> ”特殊 情况 处 理 
> 。 Switch 跳 转 表 ， 循 环 和 递归 
> 。 栈 和 推 覆 写 保护 
> ”外 部 库 函 数 ， 多 线程 改 为 串 行 
国 多 路 径 遍 历 策略 
> 路 径 履 兰 优 先 
> “间接 跳 转 ” 罗 兰 优先 


Cal 0x10001940 
Call 0kx100010d0 


cmp cax 0x196 
普 0x1000d093 


cmp cax, 0x1 双 
由 0x10004935 


Imov dlL 1000da48[cax] 
Jp 0x1000da04[cdx*4] 


Sleep(0x3c8) = 0x0 
Cal 0x10001030 
Cal 0x10001030 


Peng Fei,Deng Zhui,Zhang XiangyuwXu Dongyan,Lin Zhiqiang,Su Zhendong. X-force: force-executing binary programs for security applications. Proceedings of 
the 23rd USENIX conference on Security Symposium. San Diego, CA; USENIX Association. 2014: 829-44. 
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强制 执行 特定 路 径 : X-force 
相 比 于 传统 沙 箱 ，X-force 在 APT 样 本 的 动态 执行 中 触发 更 多 路 径 


Number of Librarv Call Si 
ass 


ass | Ye0DTTUETTTSGOHUIIRSGCT | SI 350 7 
_Win3JPWSIaLE | yebJe5Sa145467334f549Jglbe75dlg| 20| | 9| 2 | | 史 
CHAR RSIOTESSSOGSeo| | 下 | 币 
ef3>64119b 0 
2J41o9eb4b98ff41l 


二 下 
_APTLNEWSREEL | cq9f97c98203b110799ab677265Kf | II| 989| 49| 197 
_ APT1.GOGGLES | 57f98d16ac439a11012860f88db21831 | 105| 27 45| 13 
APTLBOUNCER | Ki0y0745Jd3b7Jzyd4yybyGoul To 
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通过 渐进 式 预 执行 选择 沙 箱 环境 : GoldenEye 


忆 环境 敏感 样本 筛选 
图。 污点 分 析 
四 人 
部 
四 。” 穷 举 环境 特征 所 有 可 能 值 
> ， 语言: 中 文 、 英 文 等 
G) 檬 选取: 污点 辅助 的 并 发 预 
国 渐进 式 分 析 : 每 次 选取 一 个 基本 块 ， 
多 个 环境 同时 执行 
国情 发 式 优化 策略 下 天 
> 包含 创建 进程 、 线 程 等 敏感 操作 > epons 
六 没有 调用 Exit 等 退出 函数 TI: Pre-selectiom | | JIU: Target Reports | 


Xu Zhaoyan,Zzhang Jialong,Gu GuofeiLin Zhiqiang. GoldenEye: Efficiently and Effectively Unveiling Malware's Targeted Environment. Research in Attacks,， 
Intrusions and Defenses. Cham; Springer International Publishing. 2014: 22-45. 
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通过 新 进 式 预 执行 选择 沙 箱 环境 : GoldenEye 


针对 Conficker 等 恶意 软件 样本 ， 实 现 了 系统 、 网 络 、 硬 件 、 进 程 等 环境 特征 的 
识别 与 环境 智能 选择 


V V/ 
V/ V 
V V/ 
V V/ 
VW X 
V V 
V V 


(a) Ground Truth (b) GOLDENEYE Envlironment 上 xtractlon Result 
V: Correctly Extracted, o: Similar Element 
Xx: Not Extracted 
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PHP 秋 意 软 件 的 多 路 径 分 析 : MalMax 


和 @@ 反 事 实 〈Counterfactual) 执行 和 控制 流 削 减 自 协作 式 单 独 路 径 执行 

国 路 径 分 文 条 件 不 满足 国 基于 循环 识别 的 强制 国资 源 共享 : 全 局 变量 、 
图 非 正常 执行 路 径 改 与 数据 库 连 接 、 程 序 配 
国 动态 解析 语句 (eval) 国 ”基于 履 盖 率 的 循环 次 置 

数 阔 值 动态 调整 


1 ifftisset($_ GET[I1)) Dyn. Counterfactual Execution 人 一 | 人 
2 die("Nothingto see here']; 1 1 1 1 1 1 | | 
3 if($GET[1]==$password]{ 2 2 2 ” 2 2 | 
4 for($i=0; $i<1000; ++$i] 二 ie 全 3 3 | 
5 if(Si>200and$i%11==0) | 0 | 
6 do_malicious0]; 8 天 6 晤 5 
志 else 9 3 3 | | 
8 do_benign0) 玖 | | | 1 
， | 四 ELE 
10 copy_the malware0; | 一 -全 一 下 [Da 二 一 一 Legend Sharing Global Scope hrtifacts 
(b] Traces from Dynamic Analysis and Counterfactual - - 全 Resolved Ce ss Re asg099) 
(a] Source code Exec. [Numbers in traces areline numbers and an (a] Control Flow Graph (CFG) (bj] Weighted CFG (c] Trimmed CFG 侠 Shared tween lsolated Execution: 上 


arrow means a creation ofa new isolated execution) Cherl00iteratiog (Celperploringthered pe 由 hg 


Naderi-Afooshteh Abbas,Kwon YonghwiNguyen-Tuong Anh,Razmjoo-Qalaei AlZzamiri-Gourabi Mohammad-Reza,Davidson Jack W. MalMax: Multi-Aspect 
Execution for Automated Dynamic Web Server Malware Analysis. Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications 
Security. London, United Kingdom; ACM. 2019: 1849-66. 
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322 万 文件 ( 超过 1LTB ) 的 检测 结果 -- MalMax 


plerantPes Data Files (e.g., images, icons, text files) 
人 2,513,036 (77.9%) 参与 对 比 的 多 1 个 5 | 擎 共 
1 人 AI 
Flagged ”NotFlagged 检 出 3986 个 恶意 样本 
二 708,381 (99.449%0] 
一 相 比 于 maldet， 额 外 检 


maldet detects PHPMALSCAN detects 


出 3748 个 恶意 样本 


Scan 
Results 


相 比 于 VT， 人 额 
1485 个 四 意 样本 


@ VT detects… 
VT 
@ 世 3 


e 84. 97.87% 误 报 率 仅 为 2. 13% 
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四 、 我 们 的 研究 进展 


金刚 系统 及 相关 进展 
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团队 育 景 介 绍 
与 系统 与 机 


AOTA 系 统 


基于 硬件 模拟 的 
软件 深度 分 析 
软件 油分 析 
本 与 利用 
基础 方法 
与 技术 
上 IE | | | | | 
04 .05 06 .07 .08 09 10 11 12 13 14 15 16 17 18 19 份 
信息 安全 可 信 计 算 与 信息 保障 
国家 重点 实验 室 实验 室 


研究 工作 得 到 了 国家 自然 科学 基金 、 国 家 863 计 划 、 国 家 科技 支撑 计 
划 、 国 家 信息 安全 产业 化 专项 、 国 家 重点 研发 计划 项 目 等 项 目的 持续 支持 ! 
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-硬件 模拟 的 软件 志 


141 be 00 01 00 00 
25 30 03 fe 

1 2b c8 8b c2 

101 00 00 48 

1 8b d8 85 c0 
00 33 c9 e8 

1c0 48 89 44 


站 硬件 层 、 指 令 级 1 


细 粒 度 ， 对 CPU 指 “” 国 “高 透明 , 基于 软件 国防 对 抗 , 实现 了 时 图 高 性 能 : 分 析 工具 国 
令 等 操作 实时 监控 “ 峡 运行 过 程 场景 恢复 ”于 钟 加 速 等 防 对 抗 措 峡 仅 额外 增加 0.12% 
与 内 容 解析 忻 “的 动态 分 析 施 的 CPU 资源 


核心 专利 : ZL200810117899.X、ZL201110278249.5、ZL200810241105.0、 


ZL200910081510.5、ZL201110029135.7 


。 利 用 硬件 模拟 中 的 指令 级 监控 能 力 ， 提 升 漏洞 利用 攻击 的 检测 能 
和 检测 准确 性 


。 主 要 利用 硬件 模拟 中 的 环境 操控 能 力 ， 结 合 符号 执行 等 技术 ， 提 升 
环境 构造 能 力 ， 从 而 提高 攻击 行为 触发 能 
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- rs 


E2 阔 用 软件 


宿主 操作 系统 : Linux 


网络 与 信息 安全 防护 峰会 


关键 技术 : 基于 指令 级 异常 的 未 知 恶意 软件 检测 方法 


= 形成 了 不 依赖 于 漏洞 信息 与 攻击 代码 ns Ts 
特征 的 攻击 检测 能 指令 级 截获 + 


控制 流 异常 时 识别 


前 洽 “实用 人 才 


anti-virus Droducts Imiss the attacks. Moreover, to roughly estimate how Iany 
of these 11,249 samples may be detected by 全 全 昌 30,34] as 
Imalicious (possible false Positives)， we recorded ; xcted 
(but eventually dismissed) by Xede in these samples. Particularly， we found that 
879 Xls Samples cause Excel to generate Imore than 90KB dynamic code each， 
and most doc samples each lead to over 4.500 mismatched call and ret instruc- 
码 注入 攻击 tions_ in Microsoft VVord. All these S Imav be mis-identified as malicious by 
existing approaches. Xede did not raise alerts for these cases. 


。 Meining Nie, Purui Su Qi Li, Zhi Wang, Lingyun Ying, Jinlong Hu, Dengguo Feng. Xede: Practical Exploit Early Detection. The 18th 
International Symposium on Research in Attacks, Intrusions and Defenses. RAID 2015, Springer, 2015: 198-221. 
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代码 复 用 检测 方法 :分 析 call-re 配 对 ， 检 测 ROP 攻 击 
> 改进 影子 栈 ， 应 对 现代 软件 广泛 存在 的 “类 攻击 代码 


> 改进 策略 : 以 连续 N 个 不 匹配 cal1-ret 判 定 ROP 〈 本 文 设 N=3) 


美 攻击 代码 每 次 玲 获 一 个 砍 司 奶 如 ， 历 ROP 攻 
埋 币 入 噩 要 在 17>30 个 gadgets 之 器 吕 东 


改进 策 | 采用 模 和 本 和 法 容错 M 字 节 (本文 设 M=16) 


奖 攻 赤 代 码 和 欣 司 姑 如 的 扒 箭 透 入 在 几 个 他 
以 认 ， 历 ROP 攻 朝 jgadgets 之 亲 态 放 很 大 


> 改进 策 上 | 下 提 索 ， 弹出 已 匹配 元 素 之 上 的 所 有 元 素 


应 条 Setympmongjimp、calpop 和 彩虹 篇 处 理 胡 币 
等 高 级 编 相 茂 巧 蒂 夹 的 有 ca 天 ret 向 是 
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| 效 性 评 位 实际 部 署 应 用 
鳄 .收集 恶意 代码 检测 鲍 实际 部 署 应 用 效果 


At AS 签 狐 握 类 型 王 意 相 > ”为 互联 网 公众 提供 > ”为 某 高 校 提供 邮件 附 价 
三 个 月 收集 样本 本 10144 例 
代码 注入 攻击 75% Xede 

ROP 攻 击 51.47% 
JOP 攻 击 19.85% 

攻击 失败 引发 异常 25% 

> 忆 :三 Se 雪人 万 | 检测 

镭 ， 瀑 疝 利 用 案例 分 析 ， 


六 CVE-2012-0158 〈 成 功 攻 击 ) 


Src Addr 代 础 复 用 检 测 
Ox275c8a5S6 Ox275d4037 VirtualAlloc( 


SN 


OxOo1210bo,， 人 
8X00001060: 样本 类 型 邮件 服务 器 人 

OxOOOO1000 ， 
OxOoooooo40 doc/docx 


卦 比 杀 
站 代码 注入 检测 、 pdf 对 比 杀 毒 软件 的 漏 报 率 

人 攻 【是 更 新 日 期 

| oxz7zsssbz 直 -| oxz75casoc 人 或 xls/xlsx 72.73% Kaspersky 24/05/2015 。 21/136 
Ox275c850d 上 | >| ox275e6c9a 
px225 ceS0d 功 hantml 站 McAfee 24/05/2015 。 49/136 

率 rtf 16.67% Avira 24/05/2015 。” 22/136 

> CVE-2014-1761〈 失 败 攻 击 ) 25% Norton 24/05/2015 。 32/136 


访 存 异 常 发 生 在 0x909092e4 wps 0% 
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检测 分 析 结 果 


案例 : PPT 文 件 利 用 Office 漏 洞 ， 可 执行 任意 攻击 代码 ， 由 于 当 
时 漏洞 未 公开 ， 攻 击 过 程 可 绕 过 最 新 各 类 杀毒 软件 检测 


运行 过 程 截图 
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检测 分 析 纺 


检测 结果 报告 


综合 ; 悉 意 行为 类 目 


系统 ; 

全 二 行为 逻辑 关系 图 

危险 二 

要 过 可 疑 人 典型 联网 活动 追踪 ”联网 活动 下 载 

静态 洒 协议 源 地 址 目标 地 址 长 度 网 络 数据 
收 内 赂 可 DNS 10.0.2.15 10.0.2.3 80 Standard query A downs.indian-info.in 

样 科 旬 DNS 10.0.2.3 10.0.2.15 96 Standard query response A 192.168.4.35 

文件 4 自 内 存 人 

和 TCP 10.0.2.15 192.168.435 “62 activesync > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1 

MD5 指 TCP 192.168.4.35 10.0.2.15 58 http > activesync [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1460 
他 本 

文件 1 TCP 10.0.2.15 192.168.4.35 60 activesync > http [ACK] Seq=1 Ack=1 Win=65535 Len=0 
锰 tm 

文件 让 
写 HTIP “10.0.2.15 192.168.4.35 178 GET /httpdocsmmy/xptest- 人 48c8c9:52-54-00-12-34-56/Cmwhite HTTP/1.1 

文件 有 1 tm 
该 一 一 人 站 192.168.4.35 10.0.2.15 54 http > activesync [ACK] Seq=1 Ack=125 Win=8760 Len=0 

友人 
彼 一 一 一 站 [ 10.0.2.15 192.168.435 “62 mxxrlogin > http [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1 
设 E+m 志 TCP 192.168.4.35 10.0.2.15 58 http > mxxrlogin [SYN, ACK] Seq=0 Ack=1 Win=8192 Len=0 MSS=1460 
2 10.0.2.15 192.168.435 ”60 mxxrlogin > http [ACK] Seq=1 Ack=1 Win=65535 Len=0 
跨 进 程 内 存 ~ Se 
人 依 _E sa 2 2 

域名 查询 = EX 
域名 查询 
发 闫 HTTP3 = 一 = 本 = 人 2 让 2 区 ADD 2 


坦 四 1 到 加 2 各 加 4 
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全 防护 峰会 
该 成 果 已 规模 化 应 用 ， 并 获得 多 项 荣誉 


6》 效 博 人 
乞 亿 让 BIG DATA 
XPO 


中 国 .贵阳 GUANG CHINA 


和 拿 
Wi 

本 
RS 


APEC 


CHINA 2014 


北京 市 科学 技术 奖 
为 琢 喜 在 推动 科学 技术 进出 . 对 首 痢 经 


济 建 设 和 社会 发 展 作出 贡献 的 集体 和 个 人 ， 
特 颁 此 证 ， 以 资 辫 励 . 


大 奖项 目 : 恶意 软件 与 检测 关键 技术 
及 应 用 


闫 奖 等 级 ， 总 


1 信息 安 
关机 网 引力 信息 
兴 通 讯 


NO，2017 计 -2-0)2 


2017 年 北京 市 科学 技术 二 等 奖 


ee 


20l6 碰 _ 
G 贱 NK 一 


-62C 


2016 年 二 十 国 集团 中 国峰 会 


中 国 通信 学 会 科学 技术 奖 
荣誉 证 书 
项 目 : APT 攻 击 检测 关键 技术 研究 与 应 用 二 
2 和 


: 苏 瑛 者 (第 一 完成 人 ) 


2018 年 12 月 


: KJ2018-1-11-G0O1 


2018 年 中 国 通信 学 会 一 等 奖 
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基于 执行 环境 主动 构造 的 恶意 软件 多 路 径 分 析 


指令 级 分 析 检测 规避 行为 主动 构造 执行 环境 
抽取 规避 特征 挖掘 攻击 样本 隐蔽 8 行为 


到 反 沙 箱 规避 行为 探测 
Vv0 = CreateToolhelp32Snapshot() 


通过 污 点 分 析 检 测 影 响 控 制 流 的 while(Process32Next(v0, &pe)) 
生 沾 | 4 一 > 己 人 
环境 探测 行为 《 指 党 ) if(strnicmp(pe.SszExeFileavp.exe”,4)==0) 


return 1; 


} 


return 0; 


客户 机 操作 系统 


ESIE-SE IE 
全- 二 = 


祁 规 避 行 为 特征 抽取 


环境 探测 参数 作为 符号 ， 基 于 混合 
符号 执行 技术 抽取 行为 依赖 条 件 


是 


强渡 蒿 让 蛮 


Str.Equal( CurrentProcess.name,“avp.exe”) 


到 特征 规范 化 和 化 


依据 规避 行为 语义 和 执行 上 下 文 对 特 
征 进行 语义 标识 和 条 件 化 简 


是 


禁止 特定 进程 运行 (“avp.exe”) 
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规避 行为 规避 行为 条 件 表达 式 
指定 目录 是 否 存在 DIRECTORY_EXIST("C:\NProgram Files\\Oracle\\VirtualBox Guest AdditionsN\N") 


量 存在 检测 Not MUTEX_EXIST(\"oie20hgioedoN'") 


Not REG_KEY_EXIST(HKEY_LOCAL_MACHINEN\\SOFTWAREN\Oracle\\VirtualBox Guest Additions) 
系统 界面 语言 探测 And(UI_LANGUAGE != 1049，UI_LANGUAGE != 1058，UI_LANGUAGE != 1059，UI_LANGUAGE != 1064， 
UI_LANGUAGE != 1067, UL_LANGUAGE != 1068, UI_LANGUAGE != 1079, UI_LANGUAGE != 1087) 


URL_OPEN('http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.comnN'") 


Not WINDOW _TITLE_EXIST(A"VBoxTrayToolWndN") 


SAMPLE_FILEPATH_lS("CXNWINDOWSNsystem32Nsystray32.exe'") 


Not REGISTRY_KEYVALUE_EXIST(\"HKEY_CURRENT_USERNN\Keyboard LayoutN\\Preload\N\2=00000415\") 


Not USER_NAME_CONTAIN("SANDBOX") 


主机 名 检测 Not COMPUTER_NAME_IS("Sandbox'") 


全 二 本 


网络 与 信息 安 


全 防护 峰会 


亚 意 软件 的 执行 环境 构造 实 俱 
依据 不 同名 字 互 斥 量 的 创建 情 


况 分 别 $ 
始 报告 行 类 


eeweeR RURIVoimeiwiNinsansiNaskhostane 


eebs] 


cabd20e3cd936abl 


ee 到 cdiunearetalNas 


十 


REee 直 


站 
和 
和 


让 显 WREGIETRYWMACHINESOFTWAREMICROSOFTACTVE SETUPUNSTA 
ED CCMPONENTSM85670GIE-KTLE-9WNIY -AT.SLM25P306UID0 的 古 Stubpath 


天 ”PasswordList  - 


tx 作 HardadiuuolumelwWINDOWSwupiorereae 


em enotetene 


nm 各， 浊 全 愉 


CTRL 大- 关 克 
WanciGoaneng SHOUEVWRINON DUO 人 环境 探测 行为 
Te 
Was 。 oooroaaaR aevat 


进程 行为 信息 概要 


it HaradhlyelumeiWINDoWSWRecgatonvRO0O000000007 ab 


人 b5085d1c9b420e3 :1636 MUTEX_EXIsST( x X_UPDATE X 


4 patsctsdstorage 怕 贡 ， 拓 


b5085d1c9b420e3 : 1636 MUTEX_EXIST(C***MUTEX** PERSIST) != 183 
b5085d1c9b420e3 : 1636 HANDLE OF _FILEPATH(\NANTICE) == 4294967295 


b5085d1c9b420e3 :1636 


b5085d1c9b420e3 : 1636 MUTEX_EXIST( x X_BLOCKMOUSE ) 


b5085d1c9b420e3 : 1636 MUTEX_EXIST(C**MUTEXe* ) != 183 


b5085d1c9b420e3 :1636 HANDLE OF FILEPATH(NASICE) == 4294967295 


共 7 条 ”10 条 /页 " 


实施 不 同 的 行为 


说 下 二 mm 二 而 
下 境 末 | 
mm 二 而 


访问 和 的 器 乞 saass | 台 | 
访问 网 绢 过 坊 。。 saaas | 坟 加 ] 
访问 网 引子 


主动 构造 环境 后 行为 


罕 凤 各 不 垣 ， 浊 查分 析 与 亲 


击 改 注册 志 妈 REGISTRYVMACHINE\SOFTWAREVMICROSOFTWPCHEALTHAERRORREP 
ORTINGVDW 


雹 本 注册 去 经 \REGISTRYVMACHINEISOFTWAREVMICROSOFTWPCHEALTHERRDRREP 
ORTINGVDW 的 位 口 


过 天 近 二 的 用 闪 
往 疗 骨 渤 ， 瑟 人 日志 到 HarddiskVolumel\DOCUME~1VpusenLOCALS~IVTempvedb 
_appcompartt 

程 证 而 洋 导 到 入 自 动 本 


从 explorer eye 运程 中 履 生 光合 局 
< 水 约 让 的 猎 得 


所 explorereye 


详 断 系统 中 的 诺 块 


已 六 而 深 ， 全 于 dump 文 件 HarddlskValumeiVDOCUME-_TwpuseALOCALS-IVTempv7 
?7FCDdmp 


访问 区 革 生 


二 RASMAN 本 当 他 网 
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亚 意 软件 的 执行 环境 构造 实例 
2 依据 不 同名 字 互 斥 量 的 创建 情况 分 别 实施 不 同 的 行为 
人 主动 构造 环境 后 行为 


彬 > 
三 一 一 时 国 es 本 
一 一 人 一 <<=: 


一 一 到 
< 一 
人 mm 


三 


人 | 由 


矿业 


1 检 肌 
| 


| 
ah 
| ] 
办 | 
| 于 时 下 


| 
| 


oo 


| 


人 
Seeaee 
- 
有 | ) 中 
对 话 . 交流 合作 


沙 梢 是 未 来 检测 高 级 别 攻 击 的 重要 手段 ， 沙 箱 的 检测 与 反 检 测 对 


以 实战 为 基础 的 高 技术 对 抗 ， 一 方面 需要 


一 | 


该“ 技术 对 抗 ”是 
的 结合 实战 动态 与 需求 ， 另 一 万 面 也 必须 引入 高 技术 手段 


推动 该 技术 的 研究 与 进步 需要 业 般 紧密 结合 ， 期 待产 学 研 用 紧 
结合 ， 共 同 推动 相关 技术 进步 ， 提 升 局 级 别克 胁 的 防御 能 


< 日 叫 ) 一 人 


2 


[7 
4 1 
洗 


租 请 批评 指正 ! 
欢迎 加 入 团队 |! 
谢谢 ! 


中 国 科 学 院 软 件 研究 所 
邮件 : purui@iscas.ac.cn 


